Natália
-3 °C
8 °C

Féreg bújik meg a hamis hírlevélben

2003.09.19. 10:45
Egy szépen kidolgozott féreg terjed az interneten, amely a Microsoft weboldalainak szín- és formavilágát utánozza. Vírusvédelmi szakértők szerint a Swen névre keresztelt féreg szerzője ugyanaz a hacker, aki a Gibe férget készítette.
A vírusirtó cégek által I-worm.Swen és W32/Swen@MM néven ismert féreg e-mailben, fájlcserélő rendszereken és IRC-n képes terjedni. A 106 kilobájtos fájlmelléklet a sebezhető rendszereken automatikusan lefuthat.

Valódinak tűnhet

A levél feladója (MS Technical Assistance, Microsoft Internet Security Section, MS Services) azt sugallja, hogy a Microsoft munkatársai küldték az üzenetet, ugyanakkor a tárgy általában hiányzik. A levéltörzs a Microsoft rendszerek biztonsági hiányosságára hívja föl a címzett figyelmét, és azt állítja, hogy a mellékelt futtatható programfájl egy hibajavítást tartalmaz.

A Vírus Riadó munkatársai azt tanácsolják a felhasználóknak, hogy ne dőljenek be az igényes kivitelezésű levélnek. Emellett arra hívták fel a figyelmet, hogy a valódi javítások kizárólag a gyártó saját webhelyéről kiválasztva érhetők el.

Alapos önvédelem

A lefuttatott Swen féreg elsőként a Windows mappájába másolja magát, az MLMHP.EXE-hez hasonló, véletlenszerűen változó néven és gondoskodik a fájl automatikus futtatásáról. Ezután a féreg egy párbeszédablakot jelenít meg, amelyben a "biztonsági javítás" telepítésének engedélyezését kéri. Persze a Swen a felhasználó válaszától függetlenül feltelepül a fertőzött gépre.

A féreg Windows regisztrációs adatbázisának segítségével magához rendeli bizonyos fájltípusok (BAT, SCR, EXE, REG és PIF) végrehajtását, így azok futtatásakor a féreg veszi át a vezérlést. A Swen saját védelme érdekében letiltja a regisztrációs adatbázis módosítására alkalmas felhasználói programok futását, stílszerűen egy regisztrációs kulcs beállításával.

Egy másik regisztrációs ágban a féreg információkat tárol az SMTP kiszolgálókra, a felhasználó e-mail címére, a mIRC kliens mappájának helyére és a fertőzött exe és zip fájlok nevére vonatkozóan.

Féregcserélő hálózatok

A továbbterjedés előkészítéseként a Swen féreg beállítja az esetleg a gépen található Kazaa kliensmegosztási szolgáltatását és több példányban a felajánlott anyagok közé másolja magát. A mIRC kliensben a Swen féreg a SCRIPT.INI állományt cseréli ki egy olyan parancsra, amely féregpéldányokat küld minden olyan csevegőcsatornába, amelyhez a fertőzött gép felhasználója csatlakozik.

A Microsoft által az Internet Explorer böngészőhöz kiadott legújabb javítás az MS03-032-es számot viseli.